Inhalt
- Von der Sommerlaune in den Krisenmodus – Mai 2023
- Vom Darknet in die Schlagzeilen – Juni 2023
- Das Hack wird zur Staatsaffäre – Sommer / Herbst 2023
- Reifung im Gegenwind – 2024 bis heute
- Neues Reifegrad-Niveau
- Lessons learned – was der Vorfall wirklich lehrt
- «Xperienced»- Epilog
- Kurz-Chronologie
1 Von der Sommerlaune in den Krisenmodus – Mai 2023
Es ist noch sehr früh an diesem Samstagmorgen im Mai 2023, als der CEO der Xplain AG telefonisch die engsten Mitarbeiter alarmiert: «Wir wurden gehackt, alle Systeme verschlüsselt.»
Wochenendlaune weg, Einsatzmodus an. Vor Ort haben die Mitarbeitenden bereits File- und Produktionsserver vom Netz genommen und den Wiederaufbau aus Backups gestartet. Das Business Continuity Management (BCM) funktioniert.
Cyber-Ermittler treten in Aktion, Mitarbeiter durchstöbern Tor, GitHub, Leak-Foren. Nach dem ersten OSINT-Rundflug ist klar: Die Signatur passt zu PLAY. Klassische Ransomware-Bande, «double extortion». Noch hat sie keine Daten publiziert. Aber das Timer-Script der Erpresser im Darknet tickt.
Zwischen Pizza-Kartons und Whiteboards wird der Recovery- und Kommunikationsplan kontinuierlich den neuen Erkenntnissen angepasst. Das Team setzt Kundenbriefe auf, informiert Behörden und Versicherungen, reicht eine Strafanzeige bei der Kantonspolizei Bern ein.
Das NCSC, das heute Bundesamt für Cybersicherheit (BACS) heisst, und die Cyber-Versicherung, erhalten erste Lageberichte. Zwecks forensischer Analyse beschlagnahmt die Kantonspolizei Bern die ganze vom Angriff betroffene IT.
Die Uhr auf der Darknet-Seite der Erpresser zählt unaufhaltsam dem Zeitpunkt der Veröffentlichung entgegen. Der PLAY-Gruppe ist vermutlich egal, wen sie erwischt haben – Hauptsache Daten als Druckmittel.
2 Vom Darknet in die Schlagzeilen – Juni 2024
Die Journalisten sind zur Stelle, noch bevor die Hacker eine einzige Datei ins Netz gestellt haben. Der Zufall wollte es, dass wenige Wochen zuvor ein grosses Medienhaus von derselben PLAY-Gruppe erpresst worden war. Seither prüft die Investigativredaktion regelmässig alle Ankündigungen im Leak-Forum der PLAY-Bande. Ein Reporter stellt drei Fragen: «Bestätigen Sie…?» «Zahlen Sie…» «Was für Daten…?» Die Ruhe vor dem Sturm ist vorbei.
Eine Stellungnahme für die Medien wird vorbereitet. Keine Spekulationen, nur Fakten: Wir bestätigen den Angriff. Die Systemwiederherstellung läuft. Lösegeld wird keines bezahlt. Sämtliche Behörden sind im Boot.
Hunderte Medienberichte zu Xplain erscheinen in den ersten zwei Monaten nach dem Hack.
3 Der Hack wird zur Staatsaffäre – Sommer / Herbst 2023
Im Juni geschieht, was der Darknet-Timer seit einigen Tagen angekündigt hat: PLAY lädt bis Mitte Monat das komplette Datenpaket hoch. 1,3 Millionen Dateien, darunter operative Dokumente des Bundes und der Kantone, liegen nun öffentlich aus. Noch während die ersten Hash-Listen verifiziert werden, greifen Onlinemedien das Leak auf. Spätestens jetzt muss auch die Politik reagieren. Am 28. Juni mandatiert der Bundesrat einen politisch-strategischen Krisenstab «Datenabfluss» (PSK-D). Ein Novum in der Schweiz. Unter der Leitung des Finanzdepartements soll der Stab koordinieren, was jetzt gleichzeitig brennt: Bundesinterne Sofortmassnahmen, Kommunikationslinien, Vertragsprüfungen bei sämtlichen IT-Dienstleistern des Bundes. Die internen Lagebesprechungen der Firma rücken plötzlich in den Kalender von Amtsleitern und Bundesräten.
Parallel dazu zieht das NCSC einen digitalen Zaun um den Code von Xplain: Der komplette Source-Code samt Build-Pipeline wandert auf neue Server. Interne und externe Auditoren demontieren jede Commit-Historie, jedes Jenkins-Script. Erst wenn ihr Bericht «keine Hintertüren» bescheinigt, darf wieder ausgeliefert werden. Bis dahin gilt Auslieferungsstopp.
Was technisch nach Stillstand klingt, schlägt finanziell sofort zu Buche: Mehrere Kunden frieren offene Rechnungen ein, «bis die Sicherheit bestätigt ist». Aktionäre, Banken und Cyber-Versicherung schaffen Reservelinien.
Im November legen die Auditoren ihren Schlussbericht auf den Tisch – ihr Urteil: Infrastruktur neu aufgebaut, Prozesse nachvollziehbar, Risiken beherrschbar. Der Auslieferungsstopp wird aufgehoben, Rechnungen werden wieder bezahlt.
4 Reifung im Gegenwind – 2024 bis heute
Der Jahreswechsel 2023/24 bedeutet zum ersten Mal: Durchatmen nach einem Sturm. Am 8. Februar 2024 kann das Unternehmen öffentlich kommunizieren, was niemand für möglich gehalten hätte: ein ausgeglichenes Ergebnis, keine Personalabgänge.
Am 7. März veröffentlicht das BACS seine forensische Datenauswertung: Von 1,3 Millionen gestohlenen Dateien stammen rund 65’000 – fünf Prozent – direkt aus Bundesbehörden. Die Hälfte davon enthält sensitive Informationen. Der Bericht bestätigt aber auch, dass Xplain inzwischen sämtliche Supportprozesse auf strenge Need-to-Know-Freigaben und Purge-Policies umgestellt hat.
Anfang Mai wird die Untersuchung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), sowie die vom Bundesrat angeordnete Administrativuntersuchung veröffentlicht, mit Kritik an die Adresse des Bundes und von Xplain. Unklare Vertragstexte hier, ungenügende Löschroutinen dort.
«Fehlerkette bei Bund und Lieferant», titeln die Medien.
Seit dem Hackerangriff ist inzwischen fast ein Jahr vergangen. Die in den Berichten monierten Massnahmen – Datenschutzschulung für jeden Mitarbeiter, Compliance-Checks – sind längst umgesetzt und auditiert.
Die zweite Jahreshälfte 2024 bringt schliesslich den Wendepunkt. Die Beteiligungsgesellschaft Chapters Group übernimmt die Xplain AG. Ein positives Signal an Kunden und Markt: Die Firma ist nicht nur stabil, sie hat eine Zukunft. In den Vertragsverhandlungen fällt mehr als einmal das Wort Resilienzprämie – ein Wert, den wir uns teuer erarbeitet haben.
Mit dem neuen Eigner im Rücken treibt Xplain den Umbau zur Zero-Trust-Architektur weiter voran. Aus der Pflichtübung «Audit» ist eine gelebte Kultur und ein Teil der DNA des Unternehmens geworden.
5 Neues Reifegrad-Niveau
|
Handlungsfeld |
Fortschritt bei Xplain AG |
Nutzen |
|
Zero-Trust-Architektur |
Alle Produktlinien auf segmentierte Netze mit MFA, «least privilege» – Rollenmodellen und kontinuierlichem Telemetry-Monitoring migriert. (NCSC Schweiz) |
Minimiert laterale Bewegungen von Angreifern, erhöht Nachweisbarkeit gegenüber Prüfinstanzen. |
|
Auditierbare Prozesse |
Jährliche SOC 2 Type II-Prüfungen, automatisierte Compliance-Checks (CIS Benchmarks). |
Klare, extern geprüfte Evidenz für Sicherheits- und Datenschutzanforderungen von Behörden sowie EU-NIS2-kritischen Betrieben. |
|
Stabilität & Wachstum |
Ausgeglichenes Ergebnis 2023 und 2024, neue Investoren, Cyber-Versicherung und Kredit-Fallbacks sichern Liquidität auch bei Projektverzögerungen. |
Langfristige Projektkontinuität und Investitionssicherheit für Auftraggeber. |
|
Vertrauensgarantie |
Resultate der NCSC-Dateianalyse führten zu strengerer Datenklassifikation, «need-to-know»-Freigaben und verbindlichen Lösch-/Purge-Policies in allen Supportprozessen. |
Reduziert Exfiltrationsrisiken, verbessert Datenschutzkonformität und stärkt das Vertrauen in den gesamten Software-Lebenszyklus. |
6 Lessons learned – was der Vorfall wirklich lehrt
|
# |
Erkenntnis |
Konkrete Massnahmen / empfohlene Praxis |
|
1 |
BCM ist nur Phase 1 – Die Wiederherstellung der IT löst das Problem nicht, sie startet erst den Marathon aus Recht, Aufsicht und Kommunikation. |
Juristische Spur: Melde- und Beweisplan (u. a. 72-h-Frist DSGVO/DSG), Incident-Response-Retainer beim Anwalt. Regulatorik: Matrix aller potenziellen Prüf- und Aufsichtsbehörden samt Eskalationspfaden. Kommunikation: vorgefertigte Stakeholder-Briefe, Freigabe-Workflow, Medien-Q&A. → Bereits im BCM-Handbuch ein eigenes Kapitel «After-Action & Legal Track» anlegen, Rollen und Deadlines definieren. (NCSC Schweiz) |
|
2 |
Transparenz senkt Reputationsschäden – Offene Lageberichte hielten das Narrativ unter eigener Kontrolle. |
Vorbereitung: Kommunikationsleitfaden mit Eskalationsstufen und Sprecherpool. Akutphase: tägliche Fakten-Updates, zentrales Info-Hub, Social-Media-Monitoring. Nachphase: öffentliches Lessons-Learned-Paper stärkt Glaubwürdigkeit. → Unternehmen, die proaktiv informieren, verzeichnen signifikant weniger Kundenverluste als Firmen mit «Silence-Policy». (Alvaka, ReputationUP) |
|
3 |
Finanzielle Resilienz braucht Vorarbeit – Cash-Drain folgt oft erst nach dem Angriff. |
Planung: Kredit-Fallback-Linien, versicherte Betriebsunterbrechung, Szenario «Release-Freeze» in der Liquiditätsplanung. Monitoring: tagesaktuelle Cash-Burn-Dashboards, vertragliche Zahlungsmeilensteine. Beispiel: Beim US-Fall Change Healthcare führten blockierte Zahlungen zu sektorweitem Liquiditätsstress – wer Kreditreserven hatte, überlebte schadlos. (financialresearch.gov) |
|
4 |
Mitarbeitende sind der Schlüsselfaktor – psychische Belastung kann länger dauern als das Incident-Ticket. |
Vorbereitung: Vertrauensperson / Ansprechperson für Mitarbeiter in Krisenzeiten definieren (GL wird ausgelastet sein). Ehrliche und transparente Kommunikation. Nichts schön, aber auch nicht schlecht-reden. Ergebnis: Firmen mit strukturiertem Resilience-Programm berichten bis zu 30 % weniger Fluktuation und Krankheitstage nach einem Vorfall. (Raconteur) |
7 «Xperienced» – Epilog
Manchmal setzen wir unter unser Logo einen erweiterten : «xperienced digital homeland security». Das Wort «xperienced» steht dabei für all die Monate, in denen wir Sturm, Zweifel und Verantwortung gleichzeitig tragen mussten. Wir krochen durch verschlüsselte Tunnel, erklommen Audit-Gebirge und hielten Shitstorms aus – mit jeder Etappe sind wir gereift.
«xperienced» erinnert uns daran, dass Erfahrung nicht in Zertifikaten entsteht, sondern in langen Nächten, mutigen Entscheidungen und offener Aufarbeitung. Jede wiederhergestellte VM, jede offengelegte Logzeile und jede ehrliche Kundenantwort hat Spuren in unserer DNA hinterlassen. Heute zeigen sich diese Spuren als robuste Prozesse, segmentierte Netze und gelebte Transparenz.
Und wenn morgen doch wieder ein Alarm schrillt? Unsere Sensoren sind schärfer, die Segmente dichter, und die Mitarbeiter kennen den Ernstfall aus eigener Erfahrung. Ganz ausschliessen lässt sich ein Angriff nie. Aber wer es noch einmal versucht, trifft nicht auf ein überraschtes KMU, sondern auf ein Team, das durch den Sturm gegangen ist. Wir sind nicht nur geschult, sondern xperienced – und genau das macht den Unterschied.
8 Chronologie
|
Datum |
Meilenstein |
Relevanz |
|
23. 05. 2023 |
Entdeckung & Meldung an NCSC, fedpol, BAZG |
Start des Krisenmanagements (bazg.admin.ch) |
|
01.–14. 06. 2023 |
1,3 Mio. Dateien (≈907 GB) im Darknet |
Öffentliches Bekanntwerden des Vorfalls (ncsc.admin.ch, |
|
28. 06. 2023 |
Bundesrat richtet Krisenstab PKS-D ein |
Koordiniert Bund, Kantone, Lieferanten (ncsc.admin.ch, Bundesverwaltung) |
|
23. 08. 2023 |
Administrative Untersuchung angeordnet |
Vollständige Aufarbeitung aller Umstände (ncsc.admin.ch, Bundesverwaltung) |
|
Nov 2023 |
Externer Audit bestätigt Neuaufbau |
Voraussetzung für Release-Freigaben |
|
08. 02. 2024 |
Ausgeglichenes Jahresergebnis 2023 |
Keine Mitarbeitenden-Abgänge |
|
07. 03. 2024 |
NCSC-Analyse: 65 000 Bundes-Dokumente (5 %) |
Präzise Datentransparenz (ncsc.admin.ch, The Record from Recorded Future, Cybersecurity News) |
|
02. 05. 2024 |
Berichte des EDÖB und der Administrativuntersuchung: Fehler bei Bund & Xplain |
Massnahmenpaket beschlossen (Schweizer Radio und Fernsehen (SRF), SWI swissinfo.ch) |
|
801. 05. 2025 |
SEPOS-Bericht stärkt Lieferanten-Security |
Branchenweite Wirkung (Schweizer Radio und Fernsehen (SRF)) |
|
Ab Juni 2025 |
Vorträge und Schulung |
Gezielte Impulsreferate zum Thema Krisenkommunikation, Umgang mit dem Hack, die Zeit davor, während und danach |
Fragen & Austausch: Stephan Bischof (CEO) stephan.bischof@xplain.ch / LinkedIn